PKCE: 認可コード横取り攻撃対策のために OAuth サーバーとクライアントが実装すべきこと - Qiita
PKCE とは PKCE をご存知でしょうか? これは、今から一年ほど前の 2015 年 9 月に RFC 7636 (Proof Key for Code Exchange by OAuth Public Clients) として公開された仕様を指しています。認可コード横取り攻撃 (authorization code interception attack) への対策として策定されました。 細かい条件は幾つかありますが、スマートフォンで OAuth クライアントを作る場合は、クライアント側も認可サーバー側もこの仕様の実装が強く推奨されます。これを実装しておかないと、悪意のあるアプリケーションに認可コードを横取りされてしまい、結果、悪意のあるアプリケーションがアクセストークンを取得できてしまいます。 この仕様自体のちょっとした解説は、「OAuth & OpenID Connect 関連仕
ジム・ロジャーズ「30年後の日本大変なことに」
歴史は繰り返すのではなく「韻を踏む」 私はつねに、歴史の流れを踏まえながら、数年先を見るようにしている。歴史の流れは、先を読む力、とりわけお金がどう動くかという未来を教えてくれる。成功したければ、将来を予測しなければならない。投資家だけではない。ミュージシャンであれ、サッカー選手であれ、会社員であれ、どんな世界でも成功したければ先を読むことが重要だ。私が2007年に家族でシンガポールへ移住したのも、来る「アジアの世紀」を見越してのことである。 重要なのは、「歴史は韻を踏む」ということである。これは作家マーク・トウェインの言葉だ。世界の出来事のほとんどは、以前にも起きている。まったく同じ出来事が起きるわけではないが、何かしら似た形の出来事が、何度も繰り返されている。戦争、飢餓、不況、外国人迫害、貿易戦争、移民問題──。これらの問題は、形を変えて何度も起きているのだ。 現在と類似した問題が以前
みずほ銀行のスマホ決済、後発でも「勝算がある」理由
モバイル決済サービス「J-Coin Pay」の画面。「送る/送ってもらう」「チャージ/口座に戻す」「(店舗で)支払う」という機能に絞った。カラーはみずほ銀行の青色ではなく、他の地銀とも協業することを踏まえ、桜色にした=2月20日の記者会見で撮影 J-Coin Payは、スマートフォンアプリ(iOS/Android)上で銀行口座を登録し、電子マネーを1円単位でチャージ。飲食店などで、店頭のQRコードを読み取るなどして代金を支払う。こうした仕組みは、先行するモバイルペイメントと大きく変わらないが、一度チャージした電子マネーを口座に戻したり、ユーザー同士で送金したり、といった機能は「他社にないサービス」(坂井社長)だ。手数料はかからず、24時間365日使える。 さらに3月25日から順次、みずほ銀行以外の口座も登録できるようにする。2月20日現在、全国約60の地銀との連携を予定。みずほフィナンシャ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
